過去のお知らせ

SSLの設定

メニューより「SSLの設定」を選択してください。
この機能を利用することで、以下の切り替えを行うことができます。

・SSLv3を無効にする
・TLSv1.0を無効にする
・TLSv1.1を無効にする
・RC4を無効にする
・SSLv2Helloを無効にする
・DHEを無効にする

※2017年2月15日より下記暗号スイートを拡張機能追加しました。

・TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256を有効にする
・TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256を有効にする
・TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384を有効にする
・TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384を有効にする
・TLS_RSA_WITH_AES_128_GCM_SHA256を有効にする
・TLS_RSA_WITH_AES_128_CBC_SHA256を有効にする
・TLS_RSA_WITH_AES_256_GCM_SHA384を有効にする
・TLS_RSA_WITH_AES_256_CBC_SHA256を有効にする

この機能により、Scutumで接続を許す暗号スイートをお客様がセキュリティポリシー等に沿って選択することが可能になりますが、
ウェブサイトにアクセスができなくなる利用者が出てくる可能性があります。
また、セキュリティの観点からはこの機能の利用が推奨されますが、前述の通り接続できなくなる端末も出てくることがあります。
特に「SSLv3」「TLSv1.0」「TLSv1.1」「RC4」「DHE」の無効化に関しては、お客様の判断により慎重に行ってください。

無効とするチェックボックスにチェックを入れ「反映」をクリックしてください。

SSL.png即時に設定内容が反映されます。

SSL3H.png・「SSLv3」について
Scutumでは、「SSLv3」の脆弱性「Poodle」の対策として、SSLv3を無効化せず、POODLE の攻撃を検知・防御する対応を行っています。SSLv3を無効化すると、一部接続できなくなるブラウザ・端末がでることが想定されるためです。古い暗号スイートの利用状況はお客様のサービス毎に違いがあることから一律のルールではなくお客様が選択できるようにいたしました。

・「DHE」について
TLSの脆弱性「Logjam」の対策として、「DHEを無効にする」機能を搭載しました。TLSの脆弱性「Logjam」は、中間者攻撃を仕掛けて、TLS接続を512ビットの輸出グレード暗号にダウングレード攻撃を実行される脆弱性です。Scutumでは、該当の暗号スイート(「DHE」の512ビット)は、予め無効になっており、Scutumを経由した通信は、影響を受けません。ただし、「DHE」の1024ビットの暗号スイートは依然お客様の通信で使用されている為、許容している状況です。この通信の許容とセキュリティはトレードオフの関係にある為、Scutumで利用停止を強要する措置は今のところ取っておりません。また、お客様によりセキュリティの方針も様々であることから、この暗号スイートを無効にしたい場合、この設定で無効にすることにより対策を行って頂くことを推奨いたします。

・Webサーバ側でSNIを利用する場合(SSLv3とSSLv2Helloの無効化)
Scutumでは、SSLv2Helloの接続は許可しております。しかしながら、通信自体の暗号化はSSLv2では行うことが出来ないためセキュリティ上の問題はありませんが、Webサーバ側がSNIを利用していた場合にWebサーバと接続できない事象が発生していました。今回この機能を搭載したことにより、Scutumを利用している状況において、Webサーバ側でSNIの利用が可能となります。なお、SNIを利用する場合は、「SSLv3を無効にする」「SSLv2Helloを無効にする」を同時に設定する必要があります。

・TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256等の暗号スイートについて
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256等の暗号スイートは、Scutumで従来ご利用いただけた暗号スイートよりも強度の高い暗号スイートです。 利用可能な暗号スイートを拡張することで、エンドユーザ(ブラウザ)とScutum間、Scutumとウェブサーバ間のSSL/TLS通信における安全性をより高く維持いただくことが可能です。 拡張させる場合は有効に設定する必要があります。